KR20140131764A - 무선 통신 시스템에서 이동 단말의 접속 인증 방법 및 장치 - Google Patents

무선 통신 시스템에서 이동 단말의 접속 인증 방법 및 장치 Download PDF

Info

Publication number
KR20140131764A
KR20140131764A KR1020130050774A KR20130050774A KR20140131764A KR 20140131764 A KR20140131764 A KR 20140131764A KR 1020130050774 A KR1020130050774 A KR 1020130050774A KR 20130050774 A KR20130050774 A KR 20130050774A KR 20140131764 A KR20140131764 A KR 20140131764A
Authority
KR
South Korea
Prior art keywords
authentication
session
session certificate
mobile terminal
certificate
Prior art date
Application number
KR1020130050774A
Other languages
English (en)
Inventor
박중신
예긴 알퍼
김대균
노원일
손영문
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020130050774A priority Critical patent/KR20140131764A/ko
Priority to US14/268,453 priority patent/US9307406B2/en
Priority to PCT/KR2014/003928 priority patent/WO2014182013A1/en
Publication of KR20140131764A publication Critical patent/KR20140131764A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선 통신 시스템에서 이동 단말의 접속 인증을 수행하는 방법 및 장치에 대한 것으로서, 본 발명의 방법은, 코어 네트워크로부터 상기 접속 인증을 위한 세션 인증서를 수신하는 과정과, 새로운 액세스 네트워크로 핸드오버 발생 시 상기 세션 인증서를 상기 새로운 액세스 네트워크로 전송하는 과정과, 상기 새로운 액세스 네트워크로부터 상기 세션 인증서를 기반으로 한 인증 결과를 수신하는 과정을 포함한다.

Description

무선 통신 시스템에서 이동 단말의 접속 인증 방법 및 장치{METHOD AND APPARATUS OF ACCESS CERTIFICATE IN A WIRELESS COMMUNICATION SYSTEM}
본 발명은 무선 통신 시스템에서 이동 단말의 인증 방법 및 장치에 대한 것으로서, 특히 이동 단말의 접속 인증을 수행하는 방법 및 장치에 대한 것이다.
무선 네트워크들의 보안성은 암호 방법들을 사용하여 획득된다. 네트워크에 접속(attach)하기를 시도하는 이동 단말(MS: Mobile Station)은 네트워크와 상호 암호 인증 절차를 수행해야 한다. 상기 MS와 네트워크는 롱-텀(long-term) 자격 인증서(credential)들(일 예로, 사용자명-비밀번호 페어(pair), X.509 인증서, SIM 카드 등)을 사용하여 상기 상호 암호 인증 절차를 수행할 수 있다. 상기 롱-텀 자격 인증서들은 상기 MS와 상기 네트워크 운영자의 코어 네트워크(CN : Core Network)에 위치하고 있는 서버(server)에서 저장 및 관리된다.
상기 롱-텀 자격 인증서들을 관리하는 서버는 인증/인가/과금 서버(3A or AAA 서버: Authentication, Authorization, and Accounting Server)라고 알려져 있다. 그리고 MS의 홈 네트워크(home network)에 위치하는 3A 서버는 홈 인증/인가/과금 서버(H3A 서버: Home Authentication, Authorization, and Accounting Server)로 알려져 있다. 네트워크에서 MS의 접속 인증 절차는 MS와 H3A 서버 간의 인증 관련 정보의 시그널링에 의해 수행된다. 이하 상기 3A 서버 또는 H3A 서버는 인증 서버로 통칭하기로 한다.
상기 롱-텀 자격 인증서의 타입을 기반으로, 상기 인증 절차는 상기 MS와 상기 H3A 서버간에 2번 혹은 그 이상의 라운드-트립(round-trip) 시그널링을 처리할 수 있다. 상기 인증 절차는 네트워크에서 엔드-포인트들(end-points)을 인증할 뿐만 아니라 MS가 접속을 시도하는 억세스 네트워크(AN : access network)로 상기 인가 파라미터들(Authorization parameters)을 전달하여 수행된다.
상기 인가 파라미터들은 IP 서비스의 타입(일 예로, IPv4, IPv6)과, 이동성 서비스의 타입(일 예로, 완전 이동(full mobile), 노매딕(nomadic), 고정된(fixed)), MS에게 할당된 IP 어드레스(들), 할당된 홈 에이전트(Home Agent)(들), 서비스 품질 파라미터들, 세션 라이프 타임(session lifetime) 등과 같은 정보들을 포함한다. 상기 AN은 상기 인가 파라미터들과 함께 상기 MS에게 인가된 서비스를 제공하기 위해서 상기 예시된 정보들을 필요로 한다.
상기 MS와 H3A 서버간에 상호 인증 절차는 네트워크에서 장 기간 동안 수행될 수 있다. 그리고 상기 상호 인증 절차를 위한 메시징(messaging)은 사용되는 인증 방법을 기반으로 엔드-포인트(end-point)들간에 예컨대, 2번 혹은 그 이상의 라운드 트립(round-trip)들을 초래하게 할 수 있다.
일 예로, www.ietf.org/rfc/rfc4187.txt에서 참조되는 AKA(Authentication and Key Agreement) 기반 인증은 2번의 라운드 트립들을 수행할 수 있고, www.ietf.org/rfc/rfc5216.txt에서 참조되는 TLS(Transparent Layer Security) 기반 인증은 큰 인증서 체인(chain)들이 사용될 경우 심지어 10번 이상의 라운드 트립들을 수행할 수도 있다. 또한 상기 MS들간의 각 라운드 트립은 상기 엔드 포인트들간의 지형적 분리를 기반으로 수십 ms 내지 수백 ms 사이에서 변경될 수 있다. 근래에는 500 ms 정도의 대륙간 라운드 트립 레이턴시(latency)가 일반적이다. 따라서, 상호 인증 절차는 1초 혹은 그 이상 지연될 수 있으며, 이러한 지연은 서비스 품질을 저하시키는 요인이 된다.
도 1은 일반적인 무선 통신 시스템에서 MS의 초기 네트워크 진입(initial network entry) 시 네트워크 접속 인증/인가(authentication/authorization) 동작을 설명하기 위한 도면이다. 도 1의 네트워크 접속 인증/인가 동작은 네트워크에서 세션 라이프 타임의 만료에 따라 재 인증/인가가 필요한 경우에도 동일하게 수행될 수 있다. 이하 설명의 편의상 상기 네트워크 접속 인증/인가는 네트워크 접속 인증(network access authentication) 또는 접속 인증(access authentication )으로 통칭하기로 한다.
도 1의 101 단계에서 MS(110)는 네트워크에 초기 진입 시 AN(130a)에게 해당 MS(110)의 식별자를 전송한다. 상기 AN(130a)은 기지국(BS : Base Station), 혹은 상기 BS와 억세스 게이트웨이(AGW : Access GateWay)의 결합이 될 수 있다. 103 단계에서 AN(130a)는 MS(110)의 접속 인증을 위한 파라미터들을 관리하는 인증 서버가 속하는 CN(150)에게 MS(110)의 식별자를 전달하여 MS(110)의 접속 인증을 요청한다. CN(150)은 상호 인증(mutual authentication)을 위한 암호 인증(Crypto- handshake) 절차를 수행하고, 105 단계에서 MS(110)의 접속 인증 결과로서 MS(110)가 접속을 시도하는 AN(130a)에게 인가 파라미터들(authorization parameters)를 전달한다. 상기 인가 파라미터들은 세션 인가(session authorization)를 위한 것이다. 그러면 107 단계에서 AN(130a)은 상기 인가 파라미터들 중에서 MS(110)에서 사용되는 일부 파라미터들을 MS(110)에게 전달한다.
도 2는 일반적인 무선 통신 시스템에서 MS가 새로운 AN(즉 타겟 AN)으로 핸드오버 시 네트워크 접속 인증 동작을 설명하기 위한 도면이다.
도 2를 참조하면, 201 단계에서 MS(110)는 타겟 AN(130b)으로 접속 인증을 위해 해당 MS(110)의 식별자를 전송한다. 상기 타겟 AN(130b)는 기지국(BS : Base Station), 혹은 상기 BS와 억세스 게이트웨이(AGW : Access GateWay)의 결합이 될 수 있다. 203 단계에서 타겟 AN(130b)는 CN(150b)에게 MS(110)의 식별자를 전달하여 MS(110)의 접속 인증을 요청한다. 여기서 상기 CN(150b)는 MS(110)의 접속 인증을 위한 파라미터들을 관리하는 인증 서버가 속하는 CN, MS(110)가 이전에 접속한 AN, 또는 중계(intermediary) 3A 노드(orther network) 등이 될 수 있다. 상기 CN(150b)은 도 1에서 네트워크 초기 진입 시 접속 인증 절차와 동일하게 MS(110)와 상호 인증(mutual authentication)을 위한 암호 인증(Crypto- handshake) 절차를 수행하고, 205 단계에서 MS(110)의 접속 인증 결과로서 MS(110)가 접속을 시도하는 타겟 AN(130b)에게 인가 파라미터들(authorization parameters)를 전달한다. 그러면 207 단계에서 AN(130b)은 상기 인가 파라미터들 중에서 MS(110)에서 사용되는 일부 파라미터들을 MS(110)에게 전달한다.
상기한 도 2의 기존 접속 인증 절차와 같이 MS는 네트워크 초기 접속 시는 물론 핸드오버 시에도 CN, 이전 AN, 또는 중계 3A 노드 등 다른 네트워크 노드와 접속 인증을 위한 시그널링이 요구된다. 그러나 핸드오버 시 접속 인증을 위해 발생되는 시간 지연은 서비스 중단 등의 서비스 품질 저하를 발생시킬 수 있다. 예를 들어 핸드오버 시 시간 지연으로 인해 드롭된(Dropped) 음성 호 또는 인터럽트된 비디오 스트리밍(interrupted video streaming) 등의 서비스 중단이 발생될 수 있다.
본 발명은 무선 통신 시스템에서 핸드오버 시 접속 인증 시간을 줄일 수 있는 이동 단말의 접속 인증 방법 및 장치와 그 시스템을 제공한다.
또한 본 발명은 무선 통신 시스템에서 핸드오버 시 접속 인증 절차에서 CN 등 다른 네트워크 노드와 시그널링이 요구되지 않는 이동 단말의 접속 인증 방법 및 장치와 그 시스템을 제공한다.
본 발명의 실시 예에 따른 무선 통신 시스템에서 단말이 접속 인증을 수행하는 방법은, 코어 네트워크로부터 상기 접속 인증을 위한 세션 인증서를 수신하는 과정과, 새로운 액세스 네트워크로 핸드오버 발생 시 상기 세션 인증서를 상기 새로운 액세스 네트워크로 전송하는 과정과, 상기 새로운 액세스 네트워크로부터 상기 세션 인증서를 기반으로 한 인증 결과를 수신하는 과정을 포함한다.
또한 본 발명의 실시 예에 따라 무선 통신 시스템에서 접속 인증을 수행하는 이동 단말은, 무선망을 통해 상기 접속 인증을 위한 메시지들을 송수신하는 송수신부과, 상기 접속 인증을 위한 메시지 교환을 통해 코어 네트워크로부터 상기 접속 인증을 위한 세션 인증서를 수신하고, 새로운 액세스 네트워크로 핸드오버 발생 시 상기 세션 인증서를 상기 새로운 액세스 네트워크로 전송하며, 상기 새로운 액세스 네트워크로부터 상기 세션 인증서를 기반으로 한 인증 결과를 수신하는 동작을 제어하는 제어부를 포함한다.
또한 본 발명의 실시 예에 따라 무선 통신 시스템에서 액세스 네트워크가 이동 단말의 접속 인증을 수행하는 방법은, 상기 이동 단말의 핸드오버 발생 시, 상기 이동 단말로부터 상기 접속 인증을 위한 세션 인증서의 수신 여부를 판단하는 과정과, 상기 세션 인증서가 수신된 경우, 상기 세션 인증서를 기반으로 한 인증 동작을 수행하고 상기 이동 단말로 인증 결과를 전송하는 과정을 포함한다.
또한 본 발명의 실시 예에 따라 무선 통신 시스템에서 이동 단말의 접속 인증을 수행하는 액세스 네트워크는, 무선망을 통해 상기 접속 인증을 위한 메시지들을 송수신하는 송수신부과, 상기 이동 단말의 핸드오버 발생 시, 상기 이동 단말로부터 상기 접속 인증을 위한 세션 인증서의 수신 여부를 판단하고, 상기 세션 인증서가 수신된 경우, 상기 세션 인증서를 기반으로 한 인증 동작을 수행하고 상기 이동 단말로 인증 결과를 전송하는 동작을 제어하는 제어부를 포함한다.
도 1은 일반적인 무선 통신 시스템에서 MS의 초기 네트워크 진입 시 접속 인증 동작을 설명하기 위한 도면,
도 2는 일반적인 무선 통신 시스템에서 MS가 새로운 AN으로 핸드오버 시 네트워크 접속 인증 동작을 설명하기 위한 도면,
도 3은 본 발명의 실시 예에 따른 무선 통신 시스템에서 MS의 초기 네트워크 진입 시 네트워크 접속 인증 동작을 설명하기 위한 도면,
도 4는 본 발명의 실시 예에 따른 무선 통신 시스템에서 MS가 새로운 AN으로 핸드오버 시 네트워크 접속 인증 동작을 설명하기 위한 도면,
도 5는 본 발명의 실시 예에 따른 무선 통신 시스템에서 MS의 초기 네트워크 진입 시 네트워크 접속 인증 절차를 나타낸 흐름도,
도 6은 발명의 실시 예에 따른 무선 통신 시스템에서 MS가 새로운 AN으로 핸드오버 시 네트워크 접속 인증 절차를 나타낸 흐름도,
도 7은 본 발명의 실시 예에 따라 핸드오버 시 MS에서 수행되는 접속 인증 절차를 나타낸 순서도,
도 8은 본 발명의 실시 예에 따라 MS에서 수행되는 접속 인증 절차를 나타낸 순서도,
도 9는 본 발명의 실시 예에 따라 AN에서 수행되는 접속 인증 절차를 나타낸 순서도,
도 10은 본 발명의 실시 예에 따라 CN에서 수행되는 접속 인증 절차를 나타낸 순서도.
하기에서 본 발명의 실시 예들을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
본 발명의 실시 예에서는 MS의 접속 인증을 위해 CN이 상기 MS에 대한 추가적인 인가 파라미터들을 생성하는 방안을 제안한다. 여기서 상기 추가적인 인가 파라미터들은 서로 다른 AN에서 예컨대, 정해진 기간 동안 연속적으로 사용될 수 있는 세션 인증서(session certificate)를 포함한다. 상기 세션 인증서는 상기 MS가 예컨대, 소스 AN에서 타겟 AN으로 핸드오버 하는 경우, 상기 MS의 연속적인 접속 인증을 위해 MS의 네트워크 초기 진입 시 또는 재 인증 시 CN(예컨대, 인증 서버로 동작하는 3A 서버 또는 H3A 서버)로부터 미리 MS로 전달된다.
상기 세션 인증서를 이용하면, 상기 세션 인증서에 정해진 세션 라이프 타임 동안 AN과 접속 시 기존과 같이 CN을 경유하는 접속 인증 동작을 생략할 수 있다. 그리고 MS의 핸드오버 시 타겟 AN은 상기 세션 인증서를 이용하여 상기 MS에 대한 인가 파라미터들을 획득할 수 있다. 이때 본 발명의 실시 예에서 상기 타겟 AN은 상기 CN과 MS의 접속 인증을 위한 어떠한 시그널링도 요구되지 않으며, 이에 따라 기존 인증 절차에서 MS의 핸드오버 시 발생되는 지연을 대폭 절감할 수 있다.
도 3은 본 발명의 실시 예에 따른 무선 통신 시스템에서 MS의 초기 네트워크 진입 시 네트워크 접속 인증 동작을 설명하기 위한 도면이다.
도 3을 참조하면, 301 단계에서 MS(310)는 네트워크 초기 진입 시 AN(330a)에게 해당 MS(310)의 식별자를 전송한다. 상기 AN(330a)은 BS, 혹은 BS와 AGW의 결합이 될 수 있다. 303 단계에서 AN(330a)는 MS(310)의 접속 인증을 위한 파라미터들을 관리하는 인증 서버가 속하는 CN(350)에게 MS(310)의 식별자를 전달하여 MS(310)의 접속 인증을 요청하고, CN(350)은 MS(310)와 상호 인증을 위한 암호 인증(Crypto- handshake) 절차를 수행한다. 이후 CN(350)은 본 발명의 실시 예에 따라 서로 다른 AN에서 예컨대, 정해진 기간 동안 연속적으로 사용될 수 있는 MS(310)의 세션 인증서(session certificate)를 생성한다. 305 단계에서 CN(350)은 MS(310)의 접속 인증 결과로서 상기 세션 인증서와 인가 파라미터들(authorization parameters)를 AN(330a)에게 전달한다. 이후 307 단계에서 AN(130a)은 상기 인가 파라미터들 중에서 MS(310)에서 사용되는 일부 파라미터들과 상기 세션 인증서를 MS(310)에게 전달한다.
도 4는 본 발명의 실시 예에 따른 무선 통신 시스템에서 MS가 새로운 AN(즉 타겟 AN)으로 핸드오버 시 네트워크 접속 인증 동작을 설명하기 위한 도면이다.
도 4를 참조하면, 401 단계에서 MS(310)는 타겟 AN(330b)으로 접속 인증을 위해 네트워크 초기 진입 시 또는 재 인증 시 도 3의 CN(350)으로부터 수신한 세션 인증서를 타겟 AN(330b)로 전송한다. 상기 타겟 AN(330b)는 BS, 혹은 상기 BS와 AGW의 결합이 될 수 있다. 그러면 403 단계에서 상기 세션 인증서를 수신한 타겟 AN(330b)는 CN 등의 다른 네트워크 노드와 접속 인증을 위한 시그널링을 수행하지 않고도 상기 세션 인증서를 이용하여 MS(310)의 접속 인증을 수행하고, 그 인증 결과(예컨대, success)를 MS(310)에게 전송한다. 그리고 상기 AN(330b)은 상기 세션 인증서로부터 MS(310)에 대한 인가 파라미터들을 획득할 수 있다. 상기 세션 인증서에는 단말에서 사용될 파라미터들이 포함되어 있으며, 상기 세션 인증서를 이용한 접속 인증을 통해 해당 파라미터들의 사용이 인가된다.
도 4의 예와 같이 본 발명의 실시 예에서 세션 인증서를 이용하는 MS는 타겟 AN으로 핸드 오버 시 접속 인증을 위해 CN 등과의 시그널링 절차를 생략할 수 있으므로 접속 인증 시 발행되는 시간 지연을 대폭 줄일 수 있다.
도 5는 본 발명의 실시 예에 따른 무선 통신 시스템에서 MS의 초기 네트워크 진입 시 네트워크 접속 인증 절차를 나타낸 흐름도로서, 이는 도 3의 동작을 보다 구체적으로 나타낸 것이다.
도 5를 참조하면, 네트워크 초기 진입 시 MS(310)가 AN(330a)에게 네트워크 접속 요청을 수행하고, MS(310)의 가입자 식별자를 AN(330a)을 통해 CN(350)으로 전달하고, MS(310)과 CN(350) 간의 상호 인증을 위한 Crypto-handshake를 수행하는 501 단계 내지 515 단계의 동작은 기존 접속 인증 절차에서 동작과 동일하다. 예를 들어 MS(310)는 501 단계의 네트워크 접속 요청을 송신함으로써 네트워크에 대한 가입 의도를 나타낸다. MS(310)는 예를 들어 unsolicited 방식(즉, 어떤 외부 트리거(trigger)들 없이도)으로 상기 네트워크 접속 요청을 송신하는 것을 선택할 수 있거나, 혹은 상기 네트워크에 의해 송신되는 다른 메시지에 대한 응답으로 상기 네트워크 접속 요청을 송신할 수 있다. 본 발명의 실시 예에서는 상기 두 가지 방식들 모두를 이용할 수 있다. 그리고 도 5에서 511 단계와 513 단계 사이에 상호 인증을 위한 다수의 Crypto-handshake 메시지들이 송수신되거나 또는 511 단계와 513 단계의 메시지 교환을 통해 상호 인증이 수행될 수 있다.
한편 본 발명의 실시 예에서 CN(350)은 도 5의 예와 같이 3A 서버 또는 H3A 서버 등의 인증 서버(350a)와 본 발명에 따른 세션 인증서를 생성하는 세션 인증서 생성기(350b)를 포함할 수 있다. 다른 실시 예로 상기 세션 인증서 생성기(Session Certificate Generator)(350b)는 CN(350)과 분리된 별도의 네트워크 엔터티(network entity)로 구현될 수도 있다. 상기한 과정에 따라 MS(310)와 상호 인증을 수행한 인증 서버(350a)는 517 단계에서 MS(310)의 네트워크 접속 세션 인가를 위한 인가 파라미터들을 세션 인증서 생성기(350b)로 전달한다. 그러면 519 단계에서 세션 인증서 생성기(350b)는 상기 인가 파라미터들을 근거로 상기 세션 인증서와 세션 사설 키를 생성하여 인증 서버(350a)로 전달한다. 521 단계에서 CN(350)의 인증 서버(350a)는 MS(310)의 상기 세션 인증서와 인가 파라미터들(authorization parameters)를 포함하는 인증 결과를 AN(330a)에게 전달한다. 그리고 523 단계에서 AN(330a)은 상기 인가 파라미터들 중에서 MS(310)에서 사용되는 일부 파라미터들과 상기 세션 인증서를 포함하는 인증 결과를 MS(310)에게 전달하여 접속 인증 동작이 완료된다.
본 발명의 실시 예에서 상기 인가 파라미터들은 기존 접속 인증 절차에서 CN이 AN으로 전달하는 인가 파라미터들과 동일할 수 있다. 상기 인가 파라미터들은 예를 들어, IP 서비스의 타입(IPv4, IPv6 등), 이동성 서비스의 타입(완전 이동(full mobile), 노매딕(nomadic), 고정된(fixed) 등), 할당된 IP 주소(들), 할당된 홈 에이전트(HA)(들), 서비스 품질 파라미터들, 세션 라이프 타임(lifetime) 중 적어도 하나를 포함할 수 있다.
본 발명의 실시 예에서 상기 세션 인증서는 예를 들어 CN 운영자에 의해 디지털적으로 서명되는 다수의 속성(attribute)들을 포함하는 디지털 인증서(예를 들어, http://tools.ietf.org/html/rfc5280에 기술된 X.509 인증서)를 이용할 수 있다. 그리고 상기 세션 인증서의 속성들은 예컨대, 3A 세션 ID(3A session ID), 세션 공용 키(session public key), 상기 인가 파라미터들의 리스트(list of network authorization parameters), 상기 세션 인증서의 라이프 타임(certificate lifetime), 및 디지털 서명(digital signature) 중 적어도 하나를 포함한다. 그리고 상기 세션 인증서의 속성들은 단지 일 예를 든 것이고, 본 발명이 상기 속성들에 한정되는 것은 아님에 유의하여야 할 것이다.
상기 세션 인증서의 속성들에 대해 설명하면, 상기 3A 세션 ID는 MS와 CN 간의 인증된 세션을 고유하게 식별할 수 있는 식별자이다. 상기 3A 세션 ID는 상기 인증된 세션과 과금 절차들과 같은 추후의 액션(action)들을 연관시키기 위해서 사용된다. 상기 3A 세션 ID는 필수적이 아닐 경우, 생략될 수 있다.
상기 세션 공용 키는 MS가 AN으로 세션 인증서를 암호화하여 전송할 때 사용되는 공용 키이다. 상기 세션 인증서의 라이프 타임은 상기 세션 인증서가 유효하게 사용될 수 있는 라이프 타임으로, 상기 인증 서버(350a)에 의해 인가된 네트워크 접속 세션 라이프 타임으로 설정될 수 있다. 상기 디지털 서명은 상기 CN 운영자와 같은 인가자에 의해 생성되는 암호화된 서명이다.
본 발명의 실시 예에서 상기 세션 인증서는 세션 사설 키(private key)와 함께 MS에게 제공될 수 있다. MS가 상기 세션 인증서를 암호화(encryption)하여 AN에게 전송할 때 상기 세션 공용 키를 사용하며, AN이 MS로부터 수신한 세션 인증서를 복호화(decryption)할 때 상기 세션 사설 키를 사용하는 비대칭형 암호화(asymmetric cryptography) 방식을 이용할 수 있다. 상기 세션 사설 키는 도 5의 실시 예와 같이 세션 인증서 생성기(350b)에 의해 생성될 수 있다.
도시되지는 않았으나 다른 실시 예로 상기 세션 사설 키는 CN으로부터 수신하지 않고, MS에 의해 생성될 수 있다. 상기 세션 사설 키는 다른 노드와 공유되지 않고 상기 MS에서 엄격하게 유지될 수 있다. 또한 다른 실시 예로 상기 세션 공용 키는 상기 MS에 의해 생성되고, 상기 MS와 CN 간에 송수신되는 메시지들 중 하나(일 예로, 상호 인증을 위한 Crypto-handshake 메시지)을 사용하여 상기 MS로부터 상기 CN으로 전달될 수 있다.
상기 세션 사설 키가 상기 CN에 의해 생성되고, 상기 MS로 전달될 경우, 상기 MS와 CN 사이에 위치하는 중개(Intermediary) 노드 중 어느 노드에서도 상기 세션 사설 키를 알 수 없도록 상기 세션 사설 키를 암호화(encrypt)할 필요가 있다. 상기 MS와 CN만 알고 있는 암호화 키(encryption key)는 상기 세션 인증서와 상기 세션 사설키의 암호화를 위해 이용된다. 상기 암호화 키는 MS와 CN 간에 공유되는 롱-텀 키(long-term key)를 이용하거나 또는 도 5의 509 단계 내지 515 단계의 상호 인증 절차에서 이용되는 세션 키(session key)를 이용하여 생성될 수 있다.
또한 다른 실시 예로 상기 암호화 키는 EAP(Extensible Authentication Protocol) 기반 인증 프레임워크(framework)가 사용될 경우, 확장된 마스터 세션 키(Extended Master Session Key: EMSK)로부터 생성될 수 있다. 상기 EMSK는 상기 인증 절차의 종단 점들(즉 MS와 CN) 간에만 유효하게만 생성될 수 있다.
본 발명의 실시 예에 따라 하기 <수학식 1>이 상기 세션 인증서와 상기 세션 사설 키를 MS에게 전달하기 전에 암호화하기 위해 사용되는 암호화 키(encryption key)(Kencr)를 유도하기 위해 사용될 수 있다.
<수학식 1>
Kencr = Hash (EMSK, string | other_parameters)
여기서, Hash는 HMAC-SHA256와 같은 공지된 일방 키 해쉬 함수(one-way keyed hash function)를 이용할 수 있으며, String은 상기 일방 키 해쉬 함수의 구현에 의해 선택되는 고정된 문자 스트링(fixed character string)으로 일 예로 "Session Certificate Confidentiality Key"를 이용할 수 있다. 그리고 other_parameters는 상기 추가 암호 바인딩 필요들을 기반으로 추가될 파라미터들이다. "|"는 상기 <수학식 1>에서 인접 값들의 연접(concatenation)을 나타낸다.
상기 <수학식 1>을 이용하여 암호화 키(Kencr)가 계산되면, CN은 Kencr와 공지된 암호화 알고리즘(encryption algorithm)을 사용하여 상기 세션 인증서와 상기 세션 사설 키를 암호화할 수 있다. 상기 MS가 상기 암호화된 세션 인증서와 세션 사설 키를 수신할 경우, 상기 MS는 상기 <수학식 1>과 MS가 미리 알고 있는 상기 EMSK를 사용하여 동일한 암호화 키(Kencr)를 생성할 수 있다. 그러면 MS는 상기 암호화 키(Kencr)를 이용하여 상기 세션 인증서와 세션 사설 키를 복호화할 수 있다.
상기 세션 인증서의 전달은 CN와 MS간의 무결성 보호(integrity-protected) 엔드-투-엔드(end to end)가 될 수 있다. 상기 MS와 상기 CN에 의해서만 알 수 있는 무결성 키(integrity key)는 이 무결성 보호 절차를 위해 필요하다. 상기 무결성 키는 MS와 CN간에 공유되는 롱-텀 키를 이용하거나 또는 MS와 CN 간의 상호 인증의 일부로서 생성되는 세션 키를 이용할 수 있다.
EAP-기반 인증 프레임워크가 사용될 경우, 상기 무결성 키는 상기 확장된 마스터 세션 키(EMSK)로부터 생성될 수 있다. EMSK는 EAP-기반 인증의 부산물이고, 상기 인증 절차의 엔드-포인트들에 유효하게 생성된다. 하기 <수학식 2>는 상기 세션 인증서와 상기 세션 사설 키를 보호하는 무결성(integrity)을 위해 사용되는 무결성 키(Kint)를 MS에게 전달하기 위해 사용될 수 있다.
<수학식 2>
Kint = Hash (EMSK, string | other_parameters)
여기서, Hash는 HMAC-SHA256와 같은 공지된 일방 키 해쉬 함수(one-way keyed hash function)를 이용할 수 있으며, String은 상기 일방 키 해쉬 함수의 구현에 의해 선택되는 고정된 문자 스트링(fixed character string)으로 일 예로 "Session Certificate Confidentiality Key"이고, other_parameters는 상기 추가 암호 바인딩 필요들을 기반으로 <수학식 2>에 추가되는 파라미터들이며,"|"는 상기 <수학식 2>에서 인접 값들의 연접을 나타낸다.
상기 <수학식 2>를 이용하여 상기 무결성 키(Kint)가 계산되면, CN은 상기 세션 인증서와, 가능하다면 (암호화된 또는 암호화되지 않은) 세션 사설 키 및 다른 정보 엘리먼트(information element)들을 포함하는 페이로드(payload)의 일방 키 해쉬(one-way keyed hash)를 생성할 수 있다. 이러한 일방 키 해쉬는 CN으로부터 상기 MS에게 송신되는 메시지에 포함된다. 상기 MS가 상기 페이로드 및 상기 일방 키 해쉬를 수신할 경우, 상기 MS는 상기 <수학식 2>와 EMSK를 사용하여 동일한 무결성 키(Kint)를 생성하고, 상기 페이로드의 고유 해쉬 값을 계산할 수 있다. 상기 계산된 고유 해쉬 값과 상기 수신된 해쉬 값(즉 상기 일방 키 해쉬)이 동일할 경우, 상기 MS는 상기 페이로드의 무결성이 송신 동안 보호된 것으로 결정한다. 그러나 상기 계산된 고유 해쉬값과 상기 수신된 해쉬 값(즉 상기 일방 키 해쉬)이 동일하지 않을 경우, MS는 상기 페이로드의 무결성이 보호되지 않았다고 결정하고, CN으로부터 수신한 세션 인증서와 세션 사설 키를 포함하는 메시지의 페이로드를 폐기할 수 있다.
한편 상기 세션 사설 키와 상기 세션 인증서는 상기 세션 인증서에 포함되어 있는 상기 인가 파라미터들을 사용하여 MS가 CN와의 네트워크 세션에 존재한다는 증거(proof)를 구성한다. 다시 말하면, 상기 세션 사설 키와 상기 세션 인증서를 가지고 있는 MS는 타겟 AN으로 핸드오버 시 접속 인증을 위해 CN와의 시그널링을 수행할 필요가 없다. 즉 MS는 상기 세션 인증서를 이용하여 상기 인가 파라미터들을 제시하고, 상기 세션 사설 키를 이용하여 해당 MS가 상기 세션 인증서에 자격이 부여되는 엔터티임을 암호로 증명할 수 있다. 이 경우, MS와 AN 간의 접속 인증을 위한 엄격한 시그널링을 수행하며, CN과의 시그널링은 생략될 수 있다. 예를 들어 MS가 상기 세션 인증서를 암호화(encryption)하여 AN에게 전송할 때 상기 세션 공용 키를 사용하며, AN이 MS로부터 수신한 세션 인증서를 복호화(decryption)할 때 상기 세션 사설 키를 사용하는 비대칭형 암호화(asymmetric cryptography) 방식을 이용할 수 있다.
도 5의 예에서 설명한 절차는 상기 인증 서버(350a)가 인가 파라미터들을 상기 세션 인증서 생성기(350b)에서 유용하도록 할 수 있다는 데서 가능하다. 상기 인증 서버(350a)는 단말과의 인증이 완료되기 이전 시점에서 상기 세션 인증서 생성기(350b)로부터 세션 인증서를 수신할 수 있다. 그리고 나서 상기 MS의 인증이 실패할 경우, 상기 인증 서버(350a)는 상기 세션 인증서를 폐기하도록 결정할 수 있다.
본 발명의 실시 예에서 상기 세션 인증서는 유효한 라이프 타임을 가질 수 있다. 상기 MS 혹은 네트워크는 세션이 만료되기 전에, 혹은 상기 네트워크 접속 서비스의 불연속을 초래하는 세션이 만료되기 전에, 재인증을 수행한다. 상기 세션 인증서는 각 시점에서 생성될 수 있고, MS와 상기 CN는 상호 인증한다. 본 발명의 실시 예에서 상기 세션 인증서의 생성은 선택적일 수 있다. 그리고 롱-텀 자격 인증서들을 사용하는 일반(regular) 인증 및 인가는 여전히 유용하다.
도 6은 발명의 실시 예에 따른 무선 통신 시스템에서 MS가 새로운 AN(즉 타겟 AN)으로 핸드오버 시 네트워크 접속 인증 절차를 나타낸 흐름도로서, 이는 도 4의 동작을 구체적으로 나타낸 것이다.
도 6을 참조하면, 601 단계에서 MS(310)는 핸드오버 시 타겟 AN(330b)로 네트워크 접속 요청을 전송한다. 603 단계에서 타겟 AN(330b)는 MS(310)에게 접속 인증을 위해 가입자 식별자를 요청하며, 605 단계에서 MS(310)는 타겟 AN(330b)가 상기한 세션 인증서를 전송한다. 상기 세션 인증서는 네트워크 초기 진입 시 또는 재 인증 시 CN으로부터 미리 수신된다. 그러면 607 단계에서 타겟 AN(330b)는 상기 수신한 세션 인증서를 이용하여 상호 인증을 위한 Crypto-handshake를 수행하고, 609 단계에서 MS(310)에게 그 인증 결과(success)를 전송한다.
도 6의 실시 예에서 MS가 만료되지 않은 세션 인증서를 가지고 있을 경우, 상기 MS는 상기 605 단계에서 상기 타겟 AN으로 세션 인증서 혹은 상기 세션 인증서의 존재의 지시를 송신할 수 있다. 이는 상기 타겟 AN으로 상기 MS가 세션 인증서들을 사용하여 접속 인증을 수행하는 가능함을 제안하는 것이다. 따라서, 어떤 외부의 네트워크 엘리먼트들(CN에 포함되어 있는 상기 인증 서버와 같은)을 포함시키지 않고도 타겟 AN은 상기 MS와의 접속 인증에 참여할 수 있다.
도 6의 실시 예에서 MS와 AN간에 사용되는 인증 방법은 공지된 TLS 방법을 이용할 수 있다. 상기 TLS(Transparent Layer Security) 방법에 대한 구체적인 기술은 http://tools.ietf.org/html/rfc4346을 참조할 수 있다. 상기 TLS는 다양한 버전을 이용할 수 있으며, TLS는 상기 엔드-포인트들을 인증하기 위해 인증서-타입 자격 인증서들을 사용할 수 있다. 상기 MS가 상기 세션 인증서를 상기 MS의 자격 인증서로서 사용하는 동안, 상기 AN는 또한 인증서를 사용하는 것이 요구된다. 상기 AN의 인증서는 상기 AN의 인증성을 증명하는 어떤 종류의 인증서들이라도 사용될 수 있다. 607 단계에서 상기 MS와 상기 AN 간의 인증서-기반 TLS 인증을 수행할 수 있으며, 상기 607 단계는 상기 엔드-포인트들 간의 다수의 라운드-트립들을 포함할 수 있다. 그리고 상기 605 단계에서 세션 인증서가 전달되지 않을 경우, 상기 607 단계에서 상기 MS가 상기 AN에게 세션 인증서를 제시할 수 있다.
TLS 방법을 이용한 인증 절차에서 AN는 상기 MS의 인증들을 달성할 수 있을 뿐만 아니라(그리고 MS는 상기 AN의 인증, 즉 상호 인증(mutual authentication)을 달성할 수 있다.), 그리고 AN은 MS의 세션 인증서로부터 상기 인가 파라미터들을 획득한다. 따라서, 상기 AN는 상기 CN 혹은 어떤 다른 외부 네트워크 엔터티로부터 상기 인가 파라미터들을 다운로드(download) 않고도 상기 MS에게 서비스를 제공할 수 있다.
한편 AN이 상기 세션 인증서로부터 획득되는 상기 인가 파라미터들을 사용하여 서비스를 제공하는 위치에 존재하지 않을 경우, 상기 AN은 상기 인가 파라미터들을 다운그레이드(downgrade)하는 것을 선택할 수 있다. 그리고 이와 같이 다운그레이드되어 수정된 인가 파라미터들은 도 6의 609 단계에서 상기 MS로 송신될 수 있다. MS는 상기와 같은 인가 파라미터들의 수정을 해당 AN에만 적용 가능한 것으로 처리할 수 있다.
상기 인가 파라미터들의 수정을 통한 서비스 다운그레이드(일 예로, 상기 세션 인증서가 IPv4-및-IPv6 서비스에 대한 인가를 제안할지라도 오직 IPv4 서비스만을 제공하는)은 용이하지만, 서비스 업그레이드(upgrade)(일 예로, 상기 세션 인증서가 오직 IPv4 서비스에 대한 인가를 제안할 지라도 IPv4-및-IPv6 서비스를 제공하는)은 바람직하지 않을 수 있다. 다만 일부 네트워크 배치들은 업그레이딩을 허여하는 유효한 이유들을 가질 수 있다.
도 7은 본 발명의 실시 예에 따라 핸드오버 시 MS에서 수행되는 접속 인증 절차를 나타낸 순서도로서, 도 7의 실시 예에서 MS는 네트워크 초기 진입 시 또는 재 인증 시 CN으로부터 만료되지 않은 유효한 세션 인증서를 미리 수신하여 가지고 있음을 가정한다.
도 7을 참조하면, 701 단계에서 MS는 타겟 AN으로 핸드오버 발생 시 네트워크 접속 인증 절차 시작한다. 703 단계에서 MS는 타겟 AN으로 세션 인증서를 전송하고, 705 단계에서 AN으로부터 상기 세션 인증서를 기반으로 한 인증 결과(success)를 수신하고, 707 단계에서 네트워크 접속 인증 절차 완료한다. 상기한 도 7의 동작에 의해 MS는 세션 인증서의 라이프타임이 유효한 동안 서로 다른 다수의 AN들과 상기 세션 인증서를 이용한 접속 인증을 수행할 수 있으며, 이 경우 기존 접속 인증 절차와 같은 CN과의 시그널링은 요구되지 않는다.
도 8은 본 발명의 실시 예에 따라 MS에서 수행되는 접속 인증 절차를 나타낸 순서도로서, 이는 상기 세션 인증서를 이용한 접속 인증과 일반적인 접속 인증을 수행하는 경우를 구분하여 나타낸 것이다.
도 8을 참조하면, 801 단계에서 네트워크 접속 인증 절차가 시작된다. 상기 접속 인증 절차는 MS 혹은 AN에 의해 개시된다. 803 단계에서 MS는 만료되지 않은 세션 인증서를 가지고 있는 지 판단하고, 만료되지 않은 유효한 세션 인증서를 가지고 있는 경우 MS는 805 단계로 진행하여 AN으로 세션 인증서를 전송함으로써 상기 세션 인증서를 이용한 접속 인증을 수행한다. 한편 상기 803 단계에서 만료되지 않은 세션 인증서가 존재하지 않는 경우, MS는 807 단계로 진행하여 도 5에서 설명한 일반적인 접속 인증 절차를 수행한다. 이후 809 단계에서 MS는 상기 접속 인증 절차에 의해 CN으로부터 새로운 세션 인증서가 수신 되었는지 확인하고, 새로운 세션 인증서가 수신된 경우, 811 단계로 진행하여 다음 이용을 위해 세션 인증서를 저장하고, 813 단계에서 네트워크 접속 인증 절차를 완료한다. 상기 809 단계에서 새로운 세션 인증서가 수신되지 않은 경우 상기 813 단계로 진행하여 접속 인증 절차를 완료한다.
한편 다른 실시 예로 상기 805 단계에서는 MS가 세션 인증서를 AN에게 전송하여 접속 인증을 수행하였으나, 상기 세션 인증서를 전송하지 않고, 상기 MS가 세션 인증서를 사용하고자 한다는 것을 나타내는 메시지에 특정 값을 포함시키는 형태로 접속 인증을 수행하는 것도 가능하다. 이 경우 AN은 상기 특정 값을 포함하는 메시지를 전송한 MS에 대한 응답으로 세션 인증서 기반 TLS 인증/인가에 참여할 수 있거나, 혹은 상기 롱-텀 자격 인증서들을 기반으로 일반 인증/인가를 진행할 수 있다. 한편 본 발명의 실시 예에서 상기 세션 인증서는 정해진 기간의 라이프 타임을 가지며, 그 라이프 타임이 만료될 경우 폐기된다.
도 9는 본 발명의 실시 예에 따라 AN에서 수행되는 접속 인증 절차를 나타낸 순서도로서, 이는 네트워크 즉, AN이 세션 인증서 기반 인증을 지원하는 지 여부에 따라 구분된 동작을 수행하는 예를 나타낸 것이다.
도 9를 참조하면, 901 단계에서 네트워크 접속 인증 절차 시작된다. 상기 접속 인증 절차는 MS 혹은 AN에 의해 개시된다. 903 단계에서 AN은 접속 인증을 위한 세션 인증서가 수신되었는 지 판단한다. 상기 903 단계에서 세션 인증서가 수신된 경우, 905 단계에서 AN은 세션 인증서 기반의 접속 인증을 지원하는 지 판단한다. 그리고 상기 세션 인증서 기반의 접속 인증은 상기한 실시 예에서 TLS 방법을 이용할 수 있다. 상기 905 단계에서 세션 인증서 기반의 접속 인증을 지원하면, 907 단계로 진행하여 수신한 세션 인증서를 이용하는 접속 인증을 수행한다.
한편 상기 903 단계에서 MS로부터 세션 인증서가 수신되지 않았거나, 또는 상기 905 단계에서 AN이 세션 인증서 기반 인증을 지원하지 않는 경우, AN은 909 단계로 진행하여 일반적인 접속 인증 절차를 진행한다. 그리고 상기한 과정에 의해 911 단계에서 네트워크 접속 인증 절차는 완료된다.
도 10은 본 발명의 실시 예에 따라 CN에서 수행되는 접속 인증 절차를 나타낸 순서도로서, 이는 MS가 세션 인증서 기반 인증을 지원하는 지 여부에 따라 구분된 동작을 수행하는 예를 나타낸 것이다.
도 10을 참조하면, 1001 단계에서 네트워크 접속 인증 절차가 시작된다. 상기 접속 인증 절차는 MS 혹은 AN에 의해 개시된다. 접속 인증 절차가 개시되면, 1003 단계에서 CN은 먼저 일반적인 접속 인증을 수행하여 MS에 대한 인가 파라미터들을 포함하는 인증 결과를 생성한다. 그리고 1005 단계에서 MS가 세션 인증서를 이용한 접속 인증을 지원하는 지 판단한다. 만약 상기 1005 단계에서 MS가 세션 인증서를 이용하는 접속 인증을 지원하는 경우, CN은 1007 단계로 진행하여 세션 인증서 생성기를 통해 MS에 대한 세션 인증서를 생성하고, 상기 1003 단계의 인증 결과에 상기 세션 인증서를 포함시킨다. 상기 1003 단계 또는 상기 1007 단계에서 생성된 인증 결과는 AN을 통해 MS로 전송되며, 1011 단계에서 CN의 네트워크 접속 인증 절차는 완료된다.
한편 도 10에는 도시되지 않았으나, MS에 대한 접속 인증이 성공적이지 않은 경우, 상기 접속 인증 절차는 실패 결과로 MS에게 전달된다. 그리고 상기 CN는 MS에 대한 프로파일 정보(profile information)를 가지고 있을 수 있고, 별도의 시그널링 또는 MS의 성능 정보 등 다양한 경로를 통해 이미 상기 MS가 상기 세션 인증서를 이용한 접속 인증을 지원하는지 여부를 알고 있을 수도 있다. 다른 실시 예로 상기 MS가 상기 접속 인증을 위해 CN으로 전달되는 메시지에 상기 세션 인증서를 이용한 접속 인증을 지원하는 지 여부를 지시할 수도 있다.
상기한 본 발명의 실시 예의 접속 인증 방법은, MS가 이동성을 갖는 무선 네트워크에 적용될 수 있으며, 새로운 네트워크로 이동하는 MS의 핸드오버 시 CN을 통한 시그널링을 수행하지 않고도 접속 인증을 수행하여 접속 인증 시 발생되는 시간 지연을 대폭 줄일 수 있다.

Claims (28)

  1. 무선 통신 시스템에서 이동 단말이 접속 인증을 수행하는 방법에 있어서,
    코어 네트워크로부터 상기 접속 인증을 위한 세션 인증서를 수신하는 과정;
    새로운 액세스 네트워크로 핸드오버 발생 시 상기 세션 인증서를 상기 새로운 액세스 네트워크로 전송하는 과정; 및
    상기 새로운 액세스 네트워크로부터 상기 세션 인증서를 기반으로 한 인증 결과를 수신하는 과정을 포함하는 접속 인증 방법.
  2. 제 1 항에 있어서,
    상기 세션 인증서는 상기 이동 단말의 접속 인증에 의한 적어도 하나의 인가 파라미터를 포함하는 접속 인증 방법.
  3. 제 1 항에 있어서,
    상기 세션 인증서는 상기 이동 단말과 상기 코어 네트워크가 알고 있는 암호화 키를 이용하여 암호화되어 전송되는 접속 인증 방법.
  4. 제 1 항에 있어서,
    상기 세션 인증서는 정해진 기간의 라이프 타임을 갖는 접속 인증 방법.
  5. 제 1 항에 있어서,
    상기 세션 인증서를 기반으로 한 인증은 TLS(Transparent Layer Security) 방법을 이용하여 수행되는 접속 인증 방법.
  6. 제 1 항에 있어서,
    상기 수신하는 과정은, 상기 세션 인증서의 복호화를 위한 세션 사설키를 상기 세션 인증키와 함께 수신하는 과정을 더 포함하는 접속 인증 방법.
  7. 제 1 항에 있어서,
    상기 이동 단말과 상기 액세스 네트워크는 상기 접속 인증 시 비대칭형 암호화(asymmetric cryptography) 방식을 이용하여 메시지들을 송수신하는 접속 인증 방법.
  8. 무선 통신 시스템에서 접속 인증을 수행하는 이동 단말에 있어서,
    무선망을 통해 상기 접속 인증을 위한 메시지들을 송수신하는 송수신부; 및
    상기 접속 인증을 위한 메시지 교환을 통해 코어 네트워크로부터 상기 접속 인증을 위한 세션 인증서를 수신하고, 새로운 액세스 네트워크로 핸드오버 발생 시 상기 세션 인증서를 상기 새로운 액세스 네트워크로 전송하며, 상기 새로운 액세스 네트워크로부터 상기 세션 인증서를 기반으로 한 인증 결과를 수신하는 동작을 제어하는 제어부를 포함하는 이동 단말.
  9. 제 8 항에 있어서,
    상기 세션 인증서는 상기 이동 단말의 접속 인증에 의한 적어도 하나의 인가 파라미터를 포함하는 이동 단말.
  10. 제 8 항에 있어서,
    상기 세션 인증서는 상기 이동 단말과 상기 코어 네트워크가 알고 있는 암호화 키를 이용하여 암호화되어 전송되는 이동 단말.
  11. 제 8 항에 있어서,
    상기 세션 인증서는 정해진 기간의 라이프 타임을 갖는 이동 단말.
  12. 제 8 항에 있어서,
    상기 세션 인증서를 기반으로 한 인증은 TLS(Transparent Layer Security) 방법을 이용하여 상기 액세스 네트워크에 의해 수행되는 이동 단말.
  13. 제 8 항에 있어서,
    상기 제어부는 상기 세션 인증서의 복호화를 위한 세션 사설키를 상기 세션 인증키와 함께 수신하는 동작을 더 제어하는 이동 단말.
  14. 제 8 항에 있어서,
    상기 이동 단말과 상기 액세스 네트워크는 상기 접속 인증 시 비대칭형 암호화(asymmetric cryptography) 방식을 이용하여 메시지들을 송수신하는 이동 단말.
  15. 무선 통신 시스템에서 액세스 네트워크가 이동 단말의 접속 인증을 수행하는 방법에 있어서,
    상기 이동 단말의 핸드오버 발생 시, 상기 이동 단말로부터 상기 접속 인증을 위한 세션 인증서의 수신 여부를 판단하는 과정; 및
    상기 세션 인증서가 수신된 경우, 상기 세션 인증서를 기반으로 한 인증 동작을 수행하고 상기 이동 단말로 인증 결과를 전송하는 과정을 포함하는 접속 인증 방법.
  16. 제 15 항에 있어서,
    상기 세션 인증서는 상기 이동 단말의 접속 인증에 의한 적어도 하나의 인가 파라미터를 포함하는 접속 인증 방법.
  17. 제 15 항에 있어서,
    상기 세션 인증서는 상기 이동 단말과 상기 코어 네트워크가 알고 있는 암호화 키를 이용하여 암호화되어 전송되는 접속 인증 방법.
  18. 제 15 항에 있어서,
    상기 세션 인증서는 정해진 기간의 라이프 타임을 갖는 접속 인증 방법.
  19. 제 15 항에 있어서,
    상기 인증 동작을 수행하는 과정은, 상기 수신한 세션 인증서를 기반으로 TLS(Transparent Layer Security) 방법을 수행하는 과정을 더 포함하는 접속 인증 방법.
  20. 제 15 항에 있어서,
    상기 수신한 세션 인증서로부터 상기 이동 단말의 네트워크 접속 세션 인가를 위한 적어도 하나의 인가 파라미터를 획득하는 과정을 더 포함하는 접속 인증 방법.
  21. 제 15 항에 있어서,
    상기 액세스 네트워크는 상기 접속 인증 시 비대칭형 암호화(asymmetric cryptography) 방식을 이용하여 상기 이동 단말과 메시지들을 송수신하는 접속 인증 방법.
  22. 무선 통신 시스템에서 이동 단말의 접속 인증을 수행하는 액세스 네트워크에 있어서,
    무선망을 통해 상기 접속 인증을 위한 메시지들을 송수신하는 송수신부; 및
    상기 이동 단말의 핸드오버 발생 시, 상기 이동 단말로부터 상기 접속 인증을 위한 세션 인증서의 수신 여부를 판단하고, 상기 세션 인증서가 수신된 경우, 상기 세션 인증서를 기반으로 한 인증 동작을 수행하고 상기 이동 단말로 인증 결과를 전송하는 동작을 제어하는 제어부를 포함하는 액세스 네트워크.
  23. 제 22 항에 있어서,
    상기 세션 인증서는 상기 이동 단말의 접속 인증에 의한 적어도 하나의 인가 파라미터를 포함하는 액세스 네트워크.
  24. 제 22 항에 있어서,
    상기 세션 인증서는 상기 이동 단말과 상기 코어 네트워크가 알고 있는 암호화 키를 이용하여 암호화되어 전송되는 액세스 네트워크.
  25. 제 22 항에 있어서,
    상기 세션 인증서는 정해진 기간의 라이프 타임을 갖는 액세스 네트워크.
  26. 제 22 항에 있어서,
    상기 제어부는 상기 수신한 세션 인증서를 기반으로 TLS(Transparent Layer Security) 방법을 수행하여 상기 접속 인증을 수행하는 동작을 더 제어하는 액세스 네트워크.
  27. 제 22 항에 있어서,
    상기 제어부는 상기 수신한 세션 인증서로부터 상기 이동 단말의 네트워크 접속 세션 인가를 위한 적어도 하나의 인가 파라미터를 획득하는 동작을 더 제어하는 액세스 네트워크.
  28. 제 22 항에 있어서,
    상기 액세스 네트워크는 상기 접속 인증 시 비대칭형 암호화(asymmetric cryptography) 방식을 이용하여 상기 이동 단말과 메시지들을 송수신하는 액세스 네트워크.
KR1020130050774A 2013-05-06 2013-05-06 무선 통신 시스템에서 이동 단말의 접속 인증 방법 및 장치 KR20140131764A (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020130050774A KR20140131764A (ko) 2013-05-06 2013-05-06 무선 통신 시스템에서 이동 단말의 접속 인증 방법 및 장치
US14/268,453 US9307406B2 (en) 2013-05-06 2014-05-02 Apparatus and method for authenticating access of a mobile station in a wireless communication system
PCT/KR2014/003928 WO2014182013A1 (en) 2013-05-06 2014-05-02 Apparatus and method for authenticating access of a mobile station in a wireless communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130050774A KR20140131764A (ko) 2013-05-06 2013-05-06 무선 통신 시스템에서 이동 단말의 접속 인증 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20140131764A true KR20140131764A (ko) 2014-11-14

Family

ID=51842248

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130050774A KR20140131764A (ko) 2013-05-06 2013-05-06 무선 통신 시스템에서 이동 단말의 접속 인증 방법 및 장치

Country Status (3)

Country Link
US (1) US9307406B2 (ko)
KR (1) KR20140131764A (ko)
WO (1) WO2014182013A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10021077B1 (en) * 2014-05-12 2018-07-10 Google Llc System and method for distributing and using signed send tokens
US10063594B2 (en) * 2014-12-16 2018-08-28 OPSWAT, Inc. Network access control with compliance policy check
EP3487101B1 (en) * 2017-11-20 2024-01-24 Nokia Technologies Oy Method, receiver and network apparatus for delivering payloads through an interface

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7496755B2 (en) * 2003-07-01 2009-02-24 International Business Machines Corporation Method and system for a single-sign-on operation providing grid access and network access
US7430606B1 (en) * 2003-10-17 2008-09-30 Arraycomm, Llc Reducing certificate revocation lists at access points in a wireless access network
US20050086468A1 (en) * 2003-10-17 2005-04-21 Branislav Meandzija Digital certificate related to user terminal hardware in a wireless network
KR20080033763A (ko) 2006-10-13 2008-04-17 삼성전자주식회사 와이브로 네트워크에서의 상호인증을 통한 핸드오버 방법및 그 시스템
KR100922899B1 (ko) * 2007-12-06 2009-10-20 한국전자통신연구원 이동단말의 핸드오버시 액세스망 접속인증 제어방법 및 그네트워크 시스템
KR20090075351A (ko) 2008-01-04 2009-07-08 에스케이 텔레콤주식회사 이동 아이피 네트워크의 핸드오버 인증 방법 및 시스템
US10015158B2 (en) 2008-02-29 2018-07-03 Blackberry Limited Methods and apparatus for use in enabling a mobile communication device with a digital certificate
AU2009322102B2 (en) * 2008-11-04 2015-02-19 Securekey Technologies Inc. System and methods for online authentication
KR101964142B1 (ko) 2012-10-25 2019-08-07 삼성전자주식회사 무선 통신 시스템에서 다중 기지국 협력 통신에 사용하는 단말의 통신 인증을 위한 보안키를 관리하는 방법 및 장치
US9166969B2 (en) * 2012-12-06 2015-10-20 Cisco Technology, Inc. Session certificates

Also Published As

Publication number Publication date
US9307406B2 (en) 2016-04-05
US20140331303A1 (en) 2014-11-06
WO2014182013A1 (en) 2014-11-13

Similar Documents

Publication Publication Date Title
KR100704675B1 (ko) 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
WO2017185999A1 (zh) 密钥分发、认证方法,装置及系统
US11388594B2 (en) Mutual authentication between wireless access devices
US8374582B2 (en) Access method and system for cellular mobile communication network
US8533461B2 (en) Wireless local area network terminal pre-authentication method and wireless local area network system
Mun et al. 3G-WLAN interworking: security analysis and new authentication and key agreement based on EAP-AKA
JP5364796B2 (ja) 暗号情報送信端末
US20040236939A1 (en) Wireless network handoff key
KR100924168B1 (ko) 주파수 오버레이 기반의 통신 시스템의 인증키 생성 방법및 인증 방식 협상 방법
WO2007139794A2 (en) Encryption method for secure packet transmission
KR20120091635A (ko) 통신 시스템에서 인증 방법 및 장치
Nguyen et al. Enhanced EAP-based pre-authentication for fast and secure inter-ASN handovers in mobile WiMAX networks
WO2007134547A1 (fr) Procédé et système pour créer et distribuer une clé de sécurité ip mobile après réauthentification
Maccari et al. Security analysis of IEEE 802.16
KR20140131764A (ko) 무선 통신 시스템에서 이동 단말의 접속 인증 방법 및 장치
Kumar et al. A secure seamless handover authentication technique for wireless LAN
KR20080056055A (ko) 통신 사업자간 로밍 인증방법 및 키 설정 방법과 그 방법을포함하는 프로그램이 저장된 기록매체
Al Shidhani et al. Local fast re-authentication protocol for 3G-WLAN interworking architecture
Nguyen et al. An pre-authentication protocol with symmetric keys for secure handover in mobile WiMAX networks
Sridevi et al. Security analysis of handover key management among 4G LTE entities using device certification
Kim et al. A public key based PMIPv6 authentication scheme
Sridevi et al. Secured handover key management among LTE entities using device certification
KR102345093B1 (ko) 무선 인터넷의 보안 세션 제어 시스템 및 보안 세션 제어 방법
US11838428B2 (en) Certificate-based local UE authentication
RU2779029C1 (ru) Доступ не отвечающего спецификациям 3gpp устройства к базовой сети

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application